Ver registros de auditoría de GKE

En esta página se explica cómo ver información sobre el estado de la implementación y la aplicación de políticas en Registros de auditoría de Cloud.

Para obtener más información sobre la terminología de la interfaz de usuario de Registros de auditoría de Cloud que se usa en esta página, consulta Ver registros.

Puedes evaluar el estado de seguridad de tu aplicación, incluido el cumplimiento de las políticas de autorización binaria, en los productos interdependientes de un solo panel de control. Google Cloud Para obtener más información, consulta Monitorización de seguridad.

Información general

Cuando usas la autorización binaria para desplegar una imagen de contenedor en Google Kubernetes Engine (GKE), GKE escribe detalles sobre el despliegue en los registros de auditoría de Google Cloud Observability. Estas entradas de registro de auditoría incluyen mensajes de estado de la aplicación. Puedes ver estas entradas de registro en la consola o en la línea de comandos con el comando gcloud logging read. Google Cloud

Para las búsquedas que se explican más adelante en esta guía, accede a Registros de auditoría de Cloud y selecciona el proyecto con los eventos que quieras ver.

Para obtener acceso general a los registros de auditoría de Cloud, sigue estos pasos:

1. Ve a la página Google Cloud Observability Logging > Logs (Explorador de registros) en laGoogle Cloud consola:

   Ir a Explorador de registros

2. Elige el Google Cloud proyecto del que quieras ver los registros de auditoría de Cloud.

Mensajes de estado de la implementación

GKE escribe mensajes en el registro de auditoría en las siguientes condiciones de aplicación:

• Despliegue bloqueado: el despliegue se ha bloqueado debido a la política de autorización binaria.
• Evento de acceso de emergencia: la implementación ha omitido la comprobación de la política mediante el mecanismo de acceso de emergencia. Para obtener más información, consulta Usar Breakglass.
• Fail open: se ha permitido la implementación porque el backend de la autorización binaria no estaba disponible.
• Prueba de funcionamiento: se ha permitido la implementación con infracciones de la política porque se ha definido el modo de prueba de funcionamiento en la política de autorización binaria.

Eventos de implementación bloqueada en Registros de auditoría de Cloud

Cuando se bloquea una imagen de contenedor porque infringe una política de autorización binaria, puede encontrar los eventos de despliegue bloqueados en los registros de auditoría de Cloud.

Consultar registros de auditoría de Cloud para ver los eventos de despliegues bloqueados

En esta sección se describe cómo consultar los registros de auditoría de Cloud para ver los eventos de implementación bloqueados.

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="k8s_cluster"
   logName:"cloudaudit.googleapis.com%2Factivity"
   (protoPayload.methodName="io.k8s.core.v1.pods.create" OR
    protoPayload.methodName="io.k8s.core.v1.pods.update")
   protoPayload.response.status="Failure"
   (protoPayload.response.reason="VIOLATES_POLICY" OR
   protoPayload.response.reason="Forbidden")'

Eventos de acceso de emergencia en Registros de auditoría de Cloud

La autorización binaria te permite anular la política mediante una etiqueta breakglass en la especificación del pod. Cuando las imágenes se implementan con acceso de emergencia, Autorización binaria registra los eventos de acceso de emergencia en Registros de auditoría de Cloud. En la siguiente sección se describe cómo puedes consultar estos eventos.

Consultar registros de auditoría de Cloud de pods con breakglass especificado

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="k8s_cluster" AND
  logName:"cloudaudit.googleapis.com%2Factivity" AND
  (protoPayload.methodName="io.k8s.core.v1.pods.create" OR
    protoPayload.methodName="io.k8s.core.v1.pods.update") AND
  "image-policy.k8s.io/break-glass"'

Eventos de apertura en caso de fallo en los registros de auditoría de Cloud

El error abierto se produce cuando se intenta desplegar una imagen de contenedor, la aplicación de la autorización binaria no está disponible o se agota el tiempo de espera, y se permite el despliegue de la imagen de contenedor.

En este caso, se desconoce el resultado de la verificación y se registra una entrada de registro.

Consultar eventos de apertura en caso de fallo de registros de auditoría de Cloud

gcloud logging read --order="desc" --freshness=7d \
  'resource.type="k8s_cluster"
   logName:"cloudaudit.googleapis.com%2Factivity"
   (protoPayload.methodName="io.k8s.core.v1.pods.create" OR
    protoPayload.methodName="io.k8s.core.v1.pods.update")
   ("image-policy.k8s.io/failed-open" OR
    "imagepolicywebhook.image-policy.k8s.io/failed-open" OR
    "failed-open.validating.webhook.admission.k8s.io")'

Eventos de prueba en Registros de auditoría de Cloud

El modo de ejecución de prueba es un modo de cumplimiento de una política que permite desplegar imágenes no conformes, pero escribe detalles sobre el despliegue en el registro de auditoría. El modo de prueba permite probar una política en el entorno de producción antes de que entre en vigor.

Cuando una imagen de contenedor no supera las comprobaciones necesarias de una política, pero se permite su despliegue en el modo de prueba, los registros de auditoría de Cloud contienen imagepolicywebhook.image-policy.k8s.io/dry-run: "true".

Consultar registros de auditoría de Cloud para ver eventos de prueba

gcloud logging read --order="desc" --freshness=7d \
  'labels."imagepolicywebhook.image-policy.k8s.io/dry-run"="true"'